您当前所在的位置:首页 / 新闻中心 / 行业资讯
新闻中心
行业资讯
官方动态
知识百科
媒体报道

金和盛:一篇文章了解P2P网贷黑客攻击

发表于:2015-11-11

在当今互联网金融业野蛮发展的同时,P2P平台不仅吸引了众多投资者,也引来了一群神秘的黑客。黑客通过攻击P2P网站对平台勒索敲诈,不少P2P网贷平台因害怕攻击产生业务损失而选择“破财消灾”,甚至有平台因黑客攻击而倒闭。为何P2P平台成了黑客眼中的肥肉?而P2P平台又为何如此容易受到攻击?这些平台又该如何应对?读完此文,你将了解P2P网贷黑客攻击的来龙去脉。

平台为啥被攻击?

一个平台被黑客盯上,受到攻击。无外乎就是三个原因:

1人怕出名猪怕壮

P2P网贷平台上面沉淀庞大的客户数据和资金交易额,人人贷、红岭创投这样的平台更是如此。对于黑客来说,这无疑是块巨大的肥肉。可以说,P2P是互联网离钱最近的行业。不同级别的黑客都会注意到这个领域。有的黑客在攻击前就开始敲诈勒索,有些则是在攻击过程中索要“破财消灾”的费用,敲诈金额在几百元至几百万元不等。这就是所谓的“看人下菜碟”,平台规模越大,通常开支就会越大,黑客攻击成本也高。这点特别有趣,所以平台也可以根据自己被索要金额的多少推断出自己安全防御的级别。

2同行不正当竞争

商场如战场,竞争对手的恶意竞争也是不少平台受到攻击的原因。虽然这可以通过法律的渠道来维护平台自身的利益,但很多时候,受过攻击的平台一旦失去了投资人的信赖,这种损失也是无法评估的。某知名平台屡次遭到黑客攻击,有关证据表明就是来自竞争对手的恶意攻击。如果说被同行盯上,基本上就难以避免了。黑客也是拿人钱财,替人消灾。有些时候,被竞争对手盯上也从侧面反映了平台的实力。

当然,除了这两种情况,有些入门级的黑客也会找些小平台来练手,攻击的手段通常也比较低级,但也不排除技术薄弱的平台会被这些菜鸟级的黑客入侵。

总的来说,被攻击的原因很多,但被攻击成功无论如何都表明平台在技术安全方面存在缺陷。虽然大平台面临着职业黑客的威胁,但大平台也理应在技术上更高一筹,如果基本功不扎实,平台交易量和自身防御能力不成正比,平台也应当承担投资者资金和信息安全的责任。

黑客攻击手段

常见的攻击手段包括:DDOS攻击、CC攻击、TCP全连接攻击、WEBServer多连接攻击和利用漏洞入侵。在这里,笔者把黑客攻击的手段分为菜鸟级攻击和专业级攻击。

1菜鸟级攻击

简单的说就是流量攻击,黑客的入门的攻击方法就这个,很多黑客也只会这个。第一个也是最常见的是DDOS(DistributedDenialofService)攻击,黑客通过网络过载来干扰甚至阻断正常的网络通讯,通过向服务器提交大量请求,使服务器超负荷崩溃。这个是主流的方式,很多对竞争对手的攻击就是采用了DDOS。第二就是CC攻击,就是黑客模拟用户访问某P2P网站,达到一定数量可以致使网站瘫痪,真实用户无法访问。道理很简单,就是同一时间频繁地访问某接口,服务器肯定承受不了,就会出现暂时性、间歇性中断。CC攻击,很容易让真实用户感觉到平台分分钟会跑路,这是个比较狠也比较简单的攻击方法。此外,TCP全连接攻击和WEBServer多连接攻击其实和DOSS以及CC攻击是差不多,只不过技术手段稍有不同。有些傻瓜式黑客软件就会集中这些流量攻击的方法,可以说是菜鸟级黑客装逼必备。但可笑的是,很多P2P平台连这些傻瓜式的黑客软件的攻击都防御不了,不得不令人担忧。

2专业级入侵

能受到这种级别的黑客攻击的,基本都是有些小名气的平台了。这种针对性入侵,通常是通过对P2P网站植入非法代码建立后门入侵平台的数据库,一旦入侵成功,黑客便可随意纂改、盗窃用户数据,一般用户很难发现,后台如果没有审计也很难发现。据信融财富CIO李斌透露,现在倒闭的P2P网贷平台中,有不少是因为黑客入侵后篡改数据,关门歇业的。李斌告诉笔者,其实如果站在黑客的角度来思考这个问题,P2P平台就应该知道自己应当做好什么样的工作了。黑客攻击一个平台,首先自身知道是一个犯罪行为,任何犯罪行为都有犯罪的成本。当攻击某P2P平台前,他们也会分析自己的攻击成本和最终可能的收益,因为开发攻击代码也是有成本的。基本上,攻击使用模板的企业,成本是最低的,因为黑客就不用针对性研究平台的漏洞,只需要研究模板的漏洞开发同一套代码,然后寻找使用同一个模板的企业就行了。如果攻击一个定制系统的P2P平台,黑客就要分析攻击耗时和技术难度,以及潜在收益,那种规模和防御级别明显不成正比的平台肯定就是首选。

如何避免被黑掉

其实,很多平台都是小菜鸟用傻瓜式黑客软件黑掉的,流量攻击虽然是个很粗糙的攻击方法,但也是黑客的入门基本功。如果一个平台不能防御这种级别的攻击,跟市场saygoodbye,应该是对己对人都非常好的选择。其实解决这个问题也不难,就是两点。

1多花点钱开发系统

就算中小P2P网贷平台资金实力再有限,咬咬牙也得买带宽、使用一下防火墙吧。当然了,带宽目前还是非常贵的,1G带宽的费用一般是30万元/年。如果和某知名平台的某次知名30G流量攻击那样,小平台一年的利润还不够买带宽的钱呢。所幸的是,在实力不够之前,只要不出名,很多平台是遇不到这种量级的攻击的。

很多平台为省钱甚至利用免费的开源系统开发平台,更有甚者,就在淘宝买个模板,再租一个服务器,老板和老板娘当客服,然后就出来揽活了。写到这,笔者不得不说,前方高危,进行需谨慎。就算自己没实力开发系统,无论如何也得找个专业的软件公司购买不断迭代的系统,这是个底线,突破了,就后患无穷。

2请个出色的技术总监

初创型的P2P网贷平台一般会比较重视运营,当然也不排除有些平台连运营也不重视。但无论如何,很少有平台把技术放到最重要的位置。这可能和创业者本身的素质有关系。某知名投资公司在对100家P2P网贷平台调研后发现九成P2P平台都在使用模板。

但很多有经验的创业者,在创业初期就会把技术放到一个核心的位置,在一个“投资人资金安全主题研讨会从”上,信融财富董事长齐洋曾说过:“如果黑客攻击导致某一平台瘫痪,投资者打不开网站就会异常紧张,风声鹤唳,认为该平台出了什么问题,客服电话一天要接听几百个询问来电,论坛上各种毫无关联的质疑问题纷纷涌现,造成的影响对涉事平台未来发展造成极大阻碍,也扰乱了整个互联网金融业的市场秩序。”

像信融这样的平台还是不多见的,在创业初期就极为重视技术,除了重金请了一位技术总监,同时也投入了大量的财力人力开发网贷平台。当然,这和创业者本身的资金实力和风险意识也有关系。很多平台都提出把保障客户的个人隐私、数据安全、投资安全放在平台服务的首位,但落实到地还是需要实力的。如果网站平台是自主研发,平台就可以对系统进行数据规范和备份维护,并且始终保持资深专业技术工程师对网站进行日常构建和完善,为客户提供保障,把信息安全风险降到最低。信融财富CIO李斌表示,信融财富除了引入Verisign256位SSL加密数据传输技术外,还对客户的重要信息全部进行了“打码”处理,并通过独特的防火墙系统,防止客户信息泄露和被盗取。客户在平台进行实名认证,手机认证,银行卡绑定,这些重要的隐私信息都是为客户严格高度保密的。

3建立应急机制

受到攻击是难免的,但应当建立了一整套危机应对流程来对付黑客的突然“造访”,一旦遇到网站被黑,技术人员会连夜赶往机房处理,公关团队会在公司论坛同步发帖,上传黑客勒索截图,并密切跟帖,在网站无法运行期间,如果客户有提现的需要,在核实用户真实身份后可以通过后台处理。而对于黑客数据入侵,则进一步加强内部审查机制,监测非法请求,对每天的充值提现进行审计。

金和盛网贷作为专业互联网金融和p2p网贷平台系统建设方案解决商,在安全防护技术团队里,聚集了一批互联网金融平台安全实践第一线的资深技术员,致力于改善中国互联网金融市场的网络安全状况,为p2p网贷平台数据提供银行级安全保护,同时为p2p平台安全管理部门提供一套可度量、标准的、统一的安全服务体系。